Tokens de acesso não são atualizados corretamente quando você ativa a garantia do mecanismo de autenticação em um domínio baseado no Windows Server 2008 R2

Traduções deste artigo Traduções deste artigo
ID do artigo: 2771254 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Considere o seguinte cenário:
  • Você tem alguns computadores clientes que usam a autenticação baseada em certificado de cartão inteligente em um ambiente de domínio baseado no Windows Server 2008 R2.
  • Habilitar o recurso de garantia do mecanismo de autenticação especificar uma diretiva de emissão de certificado.
  • O processo de logon de autenticação de cartão inteligente inclui várias cadeias de certificados.
  • Um usuário faz logon em um computador no domínio usando um cartão inteligente.
Nesse cenário, o Centro de distribuição de chaves (KDC) não define a diretiva de emissão de certificado específico e token de acesso do usuário não tem a participação no grupo esperado. Além disso, o KDC valida o certificado com qualquer diretiva de emissão que está disponível e verifica se a cadeia de certificados retornado tem a diretiva de emissão necessários.

Causa

Esse problema ocorre porque a cadeia de certificados que seleciona o KDC não mapeia as diretivas de emissão de certificado de cliente para as diretivas de emissão que são mapeadas no Active Directory. Portanto, token de acesso do usuário não tem a participação no grupo esperado. Esse comportamento resulta em uma falha de controle de acesso.

Observação Um único certificado de usuário pode ter muitas cadeias de certificados possíveis em uma situação complexa infra-estrutura de chave pública (PKI). No design do recurso de garantia do mecanismo de autenticação, o KDC depende de APIs para selecionar a cadeia de melhor para os grupos mapeados para o usuário solicitar o certificado.

Resolução

Informações sobre hotfix

Um hotfix compatível está disponível na Microsoft. No entanto, esse hotfix destina-se apenas a corrigir o problema descrito neste artigo. Aplica esse hotfix somente aos sistemas que apresentarem o problema descrito neste artigo. Esse hotfix pode receber testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta seção não for exibido, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa dos números de telefone de suporte e atendimento ao cliente da Microsoft ou para criar uma solicitação de serviço, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?WS=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Para aplicar esse hotfix, você deve estar executando o Windows Server 2008 R2 ou Windows Server 2008 R2 Service Pack 1 (SP1).Para obter mais informações sobre como obter um Windows Server 2008 R2 service pack, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
976932Informações sobre o Service Pack 1 para Windows 7 e Windows Server 2008 R2

Informações do registro

Para aplicar esse hotfix, você não precisará alterar o registro.

Requisito de reinicialização

Você deve reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix

Esse hotfix não substitui um hotfix lançado anteriormente.

Informações sobre o arquivo

Recolher esta imagemExpandir esta imagem
assets folding start collapsed
A versão global deste hotfix instala arquivos que tenham os atributos listados nas tabelas a seguir. As datas e horários desses arquivos estão listados em formato Tempo Universal Coordenado (UTC). As datas e horários desses arquivos no computador local são exibidos em sua hora local com a diferença do horário de verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando você executa certas operações nos arquivos.
Observações sobre o arquivo Windows Server 2008 R2
Importante Hotfixes do Windows 7 e hotfixes do Windows Server 2008 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 7/Windows Server 2008 R2" na página. Consulte sempre a seção "Aplica-se a" nos artigos para determinar o sistema operacional real ao qual se aplica cada hotfix.
  • Os arquivos que se aplicam a um produto específico, etapa (RTM, SPn), e ramificação do serviço (LDR, GDR) pode ser identificada ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir:
    Recolher esta tabelaExpandir esta tabela
    VersãoProdutoEtapa do projetoRamificação do serviço
    6.1.760 0.16xxxWindows Server 2008 R2RTMGDR
    6.1.760 versão 1.22xxxWindows Server 2008 R2SP1LDR
  • As ramificações do serviço GDR contêm somente as correções amplamente disponibilizadas para resolver problemas críticos bastante conhecidos. As ramificações do serviço LDR contêm hotfixes, além de correções amplamente disponibilizadas.
  • Os arquivos de manifesto (. manifest) instalados para cada ambiente são listados separadamente na seção "informações de arquivo adicionais para o Windows Server 2008 R2". Arquivos de manifesto e segurança associado (. cat) arquivos de catálogo, são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos de catálogo de segurança, para o qual os atributos não estiverem listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x64 com suporte do Windows Server 2008 R2
Recolher esta imagemExpandir esta imagem
assets folding start collapsed
Recolher esta tabelaExpandir esta tabela
Nome do arquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ntdsctrs.iniNão aplicável54,28608-Nov-201210: 03Não aplicável
Report.AD.XMLNão aplicável22,92908-Nov-201210: 11Não aplicável
Rules.AD.XMLNão aplicável7,25508-Nov-201210: 04Não aplicável
Ntdsa.MOFNão aplicável227,76505-Nov-201001: 54Não aplicável
Ntdsai.dll6.1.7601.221552,726,91208-Nov-201209: 59x64
Samlib.dll6.1.7600.16385107,00814-Jul-200901: 41x64
Samsrv. dll6.1.7601.22155773,12008-Nov-201210: 00x64
Samsrv.MOFNão aplicável62,54110-Jun-200920: 35Não aplicável
Kdcsvc. dll6.1.7601.22155434,68808-Nov-201209: 56x64
Kdcsvc.MOFNão aplicável5.30005-Nov-201002: 14Não aplicável
Recolher esta imagemExpandir esta imagem
assets folding end collapsed
Recolher esta imagemExpandir esta imagem
assets folding end collapsed

Situação

A Microsoft confirmou que este é um problema nos produtos Microsoft que estão listados na seção "Aplica-se a".

Mais Informações

Para obter mais informações sobre garantia do mecanismo de autenticação para os serviços de domínio Active Directory (AD DS) no Windows Server 2008 R2, consulte o seguinte site da Microsoft:Para obter mais informações sobre o recurso de garantia do mecanismo de autenticação, consulte o seguinte site da Microsoft:
Informações gerais sobre o recurso de garantia do mecanismo de autenticação
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão usada para descrever as atualizações de software da Microsoft

Informações adicionais sobre arquivos

Recolher esta imagemExpandir esta imagem
assets folding start collapsed

Informações adicionais sobre arquivos para Windows Server 2008 R2

Arquivos adicionais para todas as versões baseadas em x64 com suporte do Windows Server 2008 R2
Recolher esta imagemExpandir esta imagem
assets folding start collapsed
Recolher esta tabelaExpandir esta tabela
Nome do arquivoAmd64_01d6bba46771392bdd27bda07fcb564b_31bf3856ad364e35_6.1.7601.22155_none_80896681d1f63b6f.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_02efdf758e2f334baa1b0cf68a14a552_31bf3856ad364e35_6.1.7601.22155_none_be7cfd9c0ef55310.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_0e05542dd5615006a0cdf51fd35f5725_31bf3856ad364e35_6.1.7601.22155_none_c3318312bdf9195c.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,084
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_1512a82a9203531ee897d8d440127575_31bf3856ad364e35_6.1.7601.22155_none_aae9d76287663e10.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_1ba6f625b8b757ea2ebeef54154296ed_31bf3856ad364e35_6.1.7601.22155_none_3064b6d30c745aab.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo728
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_1bdae7ad178493baed149f03bf7042ae_31bf3856ad364e35_6.1.7601.22155_none_0438329691884e70.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,084
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_1c6ef5330cde6749c861ccce9028bb98_31bf3856ad364e35_6.1.7601.22155_none_37bbc52f205dcd3b.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_3b2861b9cdd379ebbace5d40574befe6_31bf3856ad364e35_6.1.7601.22155_none_e1d6b4169a34b22f.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo716
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_3bf7051ec360b571ff4c7b65071c72a6_31bf3856ad364e35_6.1.7601.22155_none_dd43fccab38fbf3d.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_3c6ce76936c2f11fa63bd846a0ebe0a6_31bf3856ad364e35_6.1.7601.22155_none_a6b1ef03de2a7da3.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_4767e72fb1427cffe4db4dd67ed7c101_31bf3856ad364e35_6.1.7601.22155_none_f67b3ac6072c861b.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_4c5722bf6fdb368ccbf3e5ffbe44817c_31bf3856ad364e35_6.1.7601.22155_none_c2b5f579bd793110.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,084
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_61a9ecdb4701f50999795a3b1c954767_31bf3856ad364e35_6.1.7601.22155_none_3e7753635653b78b.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,084
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_6b9f009ef31bad34526d01d443b613a4_31bf3856ad364e35_6.1.7601.22155_none_e9a8e4f911939a10.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo722
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoAmd64_77bd40e4e943abb63ea32440957349f5_31bf3856ad364e35_6.1.7601.22155_none_b8c22eb2c9ae6c30.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,084
Data (UTC)08-Nov-2012
Hora (UTC)15: 35
PlataformaNão aplicável
Nome do arquivoWow64_microsoft-windows-directory-serviços-sam_31bf3856ad364e35_6.1.7601.22155_none_1ac8463e05322b63.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo83,443
Data (UTC)08-Nov-2012
Hora (UTC)10: 15
PlataformaNão aplicável
Recolher esta imagemExpandir esta imagem
assets folding end collapsed
Recolher esta imagemExpandir esta imagem
assets folding end collapsed

Propriedades

ID do artigo: 2771254 - Última revisão: terça-feira, 8 de janeiro de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Foundation
  • Windows Web Server 2008 R2
Palavras-chave: 
kbautohotfix kbqfe kbhotfixserver kbfix kbsurveynew kbexpertiseadvanced kbmt KB2771254 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2771254

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com